Computerwoche
Alternatives Drucklayout:
› reiner Text
Link: http://www.computerwoche.de/a/sichere-und-rechtskonforme-cloud-umgebungen,2363866

Ratgeber

Sichere und rechtskonforme Cloud-Umgebungen

Datum:24.02.2013
Autor(en):Roger  Scheer
Mit einem schlüssigen Sicherheitskonzept bieten Cloud-Services nicht zu übersehende Vorteile.

Roger Scheer, RSA, erklärt, wie Unternehmen Cloud Computing sicher nutzen können.
Foto: RSA

In den Unternehmen stehen Themen wie Sicherheit1 und Compliance bei virtueller IT hoch im Kurs. Getrieben wird das Interesse für Security durch die theoretische Cloud Computing-Debatte, die schrittweise Bereitstellung flexibler, skalierbarer Dienste innerhalb eigener virtualisierter Infrastrukturen2 und die zunehmende Nachfrage nach Public Cloud Services. Altbekannte Sicherheitsherausforderungen, etwa im Desktop-Bereich, unternehmensweiter Datenschutz3 oder Identity Management4 lassen sich mit virtuellen Technologien oft deutlich effektiver lösen als im klassisch strukturierten Rechenzentrum5. Wer außerdem seine IT und Informationen mit einem individuellen und ganzheitlichen Security-Konzept schützt sowie rechtliche Fragen klärt, profitiert mit Sicherheit vom Cloud Computing.

In klassischen physischen Infrastrukturen stellen Desktops und PCs ein potenzielles Sicherheitsrisiko dar. Das Verhalten der User und die zunehmend globale Arbeitsweise der Teams erschweren die Kontrolle der Endgeräte-Peripherie. An dieser Stelle können Unternehmen mit virtualisierten Desktop-Umgebungen neue Möglichkeiten für Datenschutz und Kontrolle der Infrastruktur für sich erschließen. Virtuelle Desktops werden im Wolkenmodell als Host-Service ausgeliefert und sämtliche Endgeräte-Konfigurationen sind zentral im Data Center angesiedelt. Das virtuelle Konzept mindert das Risiko für Datenverlust, wenn Mitarbeiter-Notebooks auf Bahnhöfen oder in Hotels abhandenkommen. Da auf lokalen Festplatten keinerlei kritische Daten mehr gespeichert sind, ist in solchen Fällen auch kein Informationsabfluss aus dem Unternehmen zu befürchten. IT-Administratoren installieren sämtliche Security-Patches ebenso wie alle Anwendungs- und Betriebssystem-Upgrades von zentraler Stelle aus und sichern so effizient die Aktualität der Endgeräte. Isolationstechniken der Desktop-Virtualisierung verhindern zudem, dass private und geschäftliche Gerätenutzung kollidieren. Neben Kostensenkung, stabilerer Performance und einem höheren Sicherheitsniveau, gehört auch die verbesserte Compliance-Fähigkeit zu den Vorteilen der Client-Virtualisierung: Die Software-Lizenzen der Endgeräte sind auf einem Server konzentriert und können dort jederzeit eingesehen werden. Ansonsten müssten Administratoren jedes physische Gerät einzeln unter die Lupe nehmen. Vom Effizienzgewinn einmal abgesehen, sind Verstöße gegen geltende Lizenzvereinbarungen bei virtuellen Desktops weit unwahrscheinlicher als bei ihren physischen Vorgängern.

[Hinweis auf Bildergalerie: So wird Cloud Computing sicher] gal1

Compliance und Clouds

Clouds sind ein Outsourcing-Modell im Zeitalter der Virtualisierung. Genau wie beim klassischen Outsourcing profitieren Unternehmen von Skaleneffekten – insbesondere, weil sie frühzeitig an technologischen Innovationen partizipieren, die sich Einzelunternehmen unter Umständen nicht leisten könnten. Für den infrastrukturweiten Schutz sensibler Daten, empfehlen sich moderne, intelligente Datenschutzmechanismen wie Data Loss Prevention (DLP6). Die Technologie identifiziert sensible Daten per Richtlinien und basiert auf einem dezidiert informationszentrierten Security-Ansatz. Das heißt, Informationen werden gemäß ihrem Schutzbedürfnis klassifiziert und die unterschiedlichen Datenklassen dann richtliniengesteuert behandelt. Worauf es dabei besonders ankommt, ist die enge Verzahnung mit einem effektiven Policy-Management. Nur so lassen sich firmenspezifische Compliance-Regeln überall in gleicher Weise umsetzen – auf den Speichersystemen beim Cloud-Provider ebenso wie im Netzwerk und auf Endgeräten.

Rechtliche Fallstricke berücksichtigen

Bevor Daten an einen Cloud-Provider übergeben werden, sollten detaillierte Service Legel Agreements7 für die Sicherheitsbelange mit dem Anbieter und dessen Subunternehmern vereinbart werden. Ebenso sollte dieser offen legen, wo die ausgelagerten Daten gespeichert werden, und wie der Zugriff durch Dritte geregelt ist, damit die Prüfung durch den Cloud-„Nehmer“ überhaupt praktikabel ist. Die Herausforderung für die Unternehmen liegt nämlich darin, die Compliance-Anforderungen für die eigenen Daten nachweislich umzusetzen – auch wenn die Informationen einem Provider anvertraut wurden. Dazu müssen sie Letzteren auditieren. Am einfachsten geht dies, wenn die Daten auf Servern und Speichersystemen in Deutschland oder innerhalb der EU verarbeitet werden. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten etwa für Zugriffe durch das Finanzamt. Vorsicht gilt besonders bei personenbezogenen Daten: Das deutsche Datenschutzrecht lässt deren Verarbeitung außerhalb der EU nicht zu.

Trust-Infrastrukturen vertraglich sichern

Rechenzentren, die Security-Verantwortung partiell an Cloud-Provider übertragen, müssen deren Systemen vertrauen können. Das Cloud-Modell setzt somit eine Trust-Infrastruktur voraus, in der sich sämtliche Beziehungen und Prozesse zwischen den Cloud-Partnern lückenlos verifizieren lassen. Etliche Elemente einer solchen Trust-Infrastruktur werden bereits von vielen Providern eingesetzt. Sie lassen sich von hier aus nahtlos auf private, aber auch auf öffentliche Clouds ausdehnen. Notwendig dafür ist insbesondere ein Cloud-weites, durchgängiges (End-to-End)-Identitäts-Management8, das neben starker Zwei-Faktoren-Authentifizierung auch risikobasierte Funktionen umfasst, zum Beispiel kontextbezogene Verhaltensprotokollierung. Clouds basieren per se auf einer virtualisierten Multi-Mandanten-Architektur, die Anwender aus vielen Organisationen versorgt. Deren Daten lassen sich via Virtualisierung effektiv gegeneinander abschotten – nicht nur auf Dateiebene, sondern auch auf Satz-, Feld- und Blockebene. Effizient umsetzen lässt sich dies allerdings nur mit einem flexibel steuerbaren Rahmenwerk an Richtlinien, das den gesamten Lebenszyklus schutzwürdiger Informationen abdeckt.

Fazit

Letztlich unterscheidet sich Cloud-Security von herkömmlichen Sicherheitsstrategien also nicht so sehr durch neue Einzellösungen, sondern vorrangig durch eine neue Perspektive: Weg vom autarken Rechenzentrum, das einer Festung gleicht, hin zu einem übergreifenden, informationszentrierten Sicherheitsansatz. Das Cloud-Szenario holt neue Partner mit ins Boot; es macht die Grenzen eines Rechenzentrums gewissermaßen durchlässig. Wer IT als Cloud-Service nutzen oder anbieten will, kommt folglich nicht daran vorbei, ein individuelles Sicherheitskonzept zu entwickeln, das dem komplexen Beziehungsgeflecht von Nutzern, Service-Partnern und aktuellen Compliance-Anforderungen innerhalb der Cloud in der Praxis Rechnung trägt. (ph)

Links im Artikel:

1 http://www.computerwoche.de/security/
2 http://www.computerwoche.de/schwerpunkt/v/Virtualisierung.html
3 http://www.computerwoche.de/schwerpunkt/d/Datenschutz.html
4 http://www.computerwoche.de/schwerpunkt/i/Identity-Management.html
5 http://www.computerwoche.de/schwerpunkt/r/Rechenzentrum.html
6 http://www.computerwoche.de/schwerpunkt/d/DLP.html
7 http://www.computerwoche.de/schwerpunkt/s/SLA.html
8 http://www.computerwoche.de/schwerpunkt/i/Identity-Management.html
9 http://www.computerwoche.de/cloudcomputing

Bildergalerien im Artikel:

gal1 So wird Cloud Computing sicher

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Foto: Banksidebaby_Fotolia

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Foto: Maria.P._Fotolia.com

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Foto: Fotolia, Hero

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Foto: Fotolia, M. Homann

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Foto: Fotolia, imageteam

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Foto: Fotolia, D. Lyson

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?
Foto: Sashkin - Fotolia

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Fotolia, Eisenhans

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Foto: Fotolia / Sebastian Kaulitzki

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?
Foto: ArTo/Fotolia

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Foto: Fotolia, markusunger

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Foto: Andrey Kuzmin - Fotolia

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Liv Friis-Iarsen/Fotolia.com

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Foto: L.Vynogradova_Fotolia

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Foto: Fotolia, Bilderbox

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Foto: askaja/Fotolia.com

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Foto: Fotolia, Mapoli-Photo

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Foto: Fotolia, F. Eckgold

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Foto: Fotolia, BD-Photography

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Foto: Fotolia.com/Heino Pattschull


IDG Business Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Business Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Business Media GmbH keine Verantwortung.